Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Descripción general de ataques DoS

La intención de un ataque de denegación de servicio (DoS) es abrumar a la víctima objetivo con una enorme cantidad de tráfico falso para que la víctima se preocupe tanto por procesar el tráfico falso que el tráfico legítimo no se pueda procesar. El objetivo puede ser el firewall, los recursos de red a los que el firewall controla el acceso, o la plataforma de hardware específica o el sistema operativo de un host individual.

Si un ataque DoS se origina en varias direcciones de origen, se conoce como ataque de denegación de servicio distribuido (DDoS). Normalmente, la dirección de origen de un ataque DoS está falsificada. Las direcciones de origen en un ataque DDoS podrían ser falsificadas, o las direcciones reales de los hosts comprometidos podrían usarse como "agentes zombies" para lanzar el ataque.

El dispositivo puede defenderse a sí mismo y a los recursos que protege de ataques DoS y DDoS.

Descripción general de los ataques DoS de firewall

La intención de un ataque de denegación de servicio (DoS) es abrumar a la víctima objetivo con una enorme cantidad de tráfico falso para que la víctima se preocupe tanto por procesar el tráfico falso que el tráfico legítimo no se pueda procesar.

Si los atacantes descubren la presencia del firewall de Juniper Networks, podrían lanzar un ataque DoS contra él en lugar de contra la red detrás de él. Un ataque DoS exitoso contra un firewall equivale a un ataque DoS exitoso contra la red protegida, ya que frustra los intentos de tráfico legítimo de atravesar el firewall.

Un atacante podría usar inundaciones de tabla de sesión e inundaciones de proxy SYN-ACK-ACK para llenar la tabla de sesión de Junos OS y, por lo tanto, producir un DoS.

Descripción de los filtros de firewall en el concentrador de puertos del módulo SRX5000

El concentrador de puerto de módulo de línea SRX5000 (SRX5K-MPC) para la SRX5400, SRX5600 y SRX5800 admite un filtro de firewall para proporcionar reenvío basado en filtros y filtrado de paquetes en interfaces lógicas, incluida la interfaz de circuito cerrado del chasis. Un filtro de firewall se utiliza para proteger las redes, proteger los motores de enrutamiento y reenvío de paquetes, y para garantizar la clase de servicio (CoS).

El filtro de firewall proporciona:

  • Reenvío basado en filtros en interfaces lógicas

  • Protección de un motor de enrutamiento contra ataques DoS

  • Bloqueo de ciertos tipos de paquetes para llegar a un motor de enrutamiento y a un contador de paquetes

El filtro de firewall examina los paquetes y realiza acciones de acuerdo con la política de filtro configurada. La política se compone de condiciones y acciones de coincidencia. Las condiciones de coincidencia cubren varios campos de la información del paquete de capa 3 y del encabezado de capa 4. En asociación con las condiciones de coincidencia, se definen varias acciones en la directiva de filtro de firewall, de las cuales estas acciones incluyen accept, , log contador, discardetc.

Después de configurar el filtro de firewall, puede aplicar una interfaz lógica al filtro de firewall en la entrada o salida, o en ambas direcciones. El filtro de firewall comprueba todos los paquetes que pasan por la interfaz lógica. Como parte de la configuración del filtro de firewall, se define un aplicador de políticas que se aplica a la interfaz lógica. Un aplicador de políticas restringe el ancho de banda del tráfico en la interfaz lógica.

Nota:

El filtrado de firewall en un SRX5K-MPC no admite interfaces Ethernet agregadas.
Nota:

En dispositivos SRX5400, SRX5600 y SRX5800 con un SRX5K-MPC, la aplicación de un aplicador de políticas en la interfaz de circuito cerrado (lo0) garantiza que el motor de reenvío de paquetes descarte ciertos tipos de paquetes y evite que lleguen al motor de enrutamiento.

Documentación relacionada